Как я могу удалить или удалить исходящую заявку в AD FS?

Question

Как я могу удалить или удалить исходящую заявку в AD FS?

Правила выдачи утверждений моего клиента для доверяющего доверия не включают это утверждение, но оно заканчивается в исходящих утверждениях и дает сбой Okta: http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser

У них есть это как пользовательское правило для доверяющего доверия для моего приложения:

c: [Type == " http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => проблема (store = "Active Directory", типы = ("userName", "firstName", "lastName", "email", " http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier"), query = "; userPrincipalName, данное Name,sn,mail,userPrincipalName;{0}", param = c.Value);

Во время входа в SAML, инициируемого IdP, AD FS отправляет http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser также. Похоже, что это связано с регистрацией устройства, контекстом устройства и AD FS MFA.

Клиент использует эти претензии для других доверенных трастов, поэтому я не могу полностью их удалить.

Есть ли способ отключить прохождение этих утверждений для определенного доверяющего доверия?

Как я могу удалить или удалить конкретную исходящую заявку?

0

adfs saml

Источник

Alain O'Dea 22 янв '18 в 23:38

1 ответ

Другие вопросы по тегам adfs saml

khlr 24 фев '18 в 11:08 2018-02-24 11:08 · Answer 1 · 2018-02-24 11:08

Вы не контролируете ADFS, о которой говорите? Это сторонний (будучи сторонним клиентом, для которого вы разрабатываете приложение), не так ли?

ADFS позволяет вам (соответственно администратору) определить несколько доверительных отношений проверяющей стороны (RPT). Затем вы можете определить индивидуальные правила преобразования эмиссии для каждого RPT. Таким образом, если для вашего приложения определен отдельный RPT, то остановить нежелательную заявку следует так же просто, как удалить эту заявку из Правил преобразования выдачи RPT, определенных для вашего приложения.

Вы упомянули, что это требование относится к другим доверяющим сторонам. Пока есть другие RPT, определенные для этих RP (и заявка остается включенной в их Правила преобразования выдачи), все должно быть в порядке.

У вас есть доступ к полным Правилам преобразования выдачи для вашего приложения? Не могли бы вы опубликовать это здесь (не раскрывая конфиденциальную информацию)? Может быть, это поможет прояснить ваш случай.